更新時間:2024/04/18 12:24:04
發佈時間:2024/04/17 10:24:36
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
4/18 因應官方公告表示緩解措施經確認無效,故移除原建議措施第二點關閉遙測功能等說明。
一、漏洞說明[1]
Palo Alto發布特定版本PAN-OS的全域保護功能(GlobalProtect)存在高風險系統命令注入漏洞(OS Command Injection),未經身分驗證的攻擊者成功利用漏洞時,可以root權限於受影響之防火牆執行任意程式碼。
二、已揭露攻擊程式碼說明
1.CISA列入已遭利用漏洞清單[2],建議優先修補。
2.資安業者揭露已有駭客組織利用此漏洞進行攻擊,並提供攻擊方式以及相關IoC等資訊[3]。
3.GitHub上已有相關攻擊程式碼。[4]
三、F-ISAC彙整相關入侵威脅指標於附件。
▶ 參考資訊
⌵
網址 | 說明 |
---|---|
https://security.paloaltonetworks.com/CVE-2024-3400 | 1.Palo Alto |
https://www.cisa.gov/known-exploited-vulnerabilities-catalog | 2.CISA |
https://unit42.paloaltonetworks.com/cve-2024-3400/ | 3.UNIT42 |
https://github.com/0x0d3ad/CVE-2024-3400 | 4.GitHub |
▶ 影響平台
⌵
影響平台-系統:
PAN-OS 11.1 修補於11.1.2-h3
PAN-OS 11.0 修補於11.0.4-h1
PAN-OS 10.2 修補於10.2.9-h1
▶ 建議措施
⌵
1. Palo Alto已發佈特定版本修補程式,其餘版本可參考官方公告資訊,建議會員依照單位內既有漏洞管理機制,評估後執行相關作業。
2. 建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。
3. 部分惡意檔案防毒系統尚無法偵測,建議依照既有防護設備採取對應防護措施。
▶ 漏洞資訊
⌵
名稱:
CVE-2024-3400
描述:
使用版本:CVSS4.0
分析分數:10
參考來源: Palo Alto
▶ IoC資料欄位
⌵
類別 | 內容 |
---|---|
IPv4 | 172.233.228.93 |
IPv4 | 66.235.168.222 |
IPv4 | 144.172.79.92 |
URL | http://172.233.228.93/policy |
URL | http://172.233.228.93/patch |
HASH(MD5) | 0c1554888ce9ed0da1583dbdf7b31651 |
HASH(SHA1) | 988fc0d23e6e30c2c46ccec9bbff50b7453b8ba9 |
HASH(SHA256) | 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac |
HASH(SHA256) | 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 |
情資編號:
FISAC-200-202404-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞